L'ANALISI TECNICA

CoronaLocker, il malware a tema coronavirus che blocca l’accesso al PC: i dettagli

Si chiama CoronaLocker il malware screenlocker simile ad un ransomware che, usando una schermata di blocco, impedisce alla vittima di interagire con il sistema operativo ripetendo all’infinito e in maniera inquietante la parola “coronavirus”. Ecco tutti i dettagli

23 Apr 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


È stato sopranominato CoronaLocker il nuovo malware a tema coronavirus scoperto dal ricercatore di sicurezza Max Kersten che, in un’analisi pubblicata sul suo blog, lo definisce come un “esempio amatoriale di ransomware” che nel contempo potrebbe fornire degli spunti su come mettere a punto uno screenlocker ad effetto ed integrarlo successivamente con delle pericolose funzionalità cryptolocker.

Gli screenlocker sono dei programmi che all’accensione di un dispositivo, visualizzando una schermata di blocco, non consentono di interagire con le funzionalità del sistema operativo.

Il campione di CoronaLocker che è stato analizzato in seguito ad una richiesta di aiuto apparsa su di un gruppo Telegram, si maschera sotto le mentite spoglie di un presunto programma di hacking WiFi denominato “wifihacker.exe”.

La sua particolarità, come si può osservare in un video pubblicato online e come vedremo di seguito, risiede sul fatto che durante la fase di blocco utilizza una funzione di sintesi vocale per riprodurre in modo perpetuo la parola “coronavirus” allo scopo di indurre inquietudine, con un forte impatto emotivo, nella malcapitata vittima.

CoronaLocker: come si manifesta l’infezione

La catena infettiva di CoronaLocker ha inizio nel momento in cui la malcapitata vittima dovesse eseguire il file wifihacker.exe. Subito dopo un improvviso riavvio del sistema, il finto tool di hacking Wi-Fi compie le seguenti operazioni:

  1. mostra una schermata di blocco con la frase “Sei infetto dal corona virus…” e riporta l’indirizzo di un’e-mail di contatto, computertricks2018 @gmail.com;
  2. dopo il successivo accesso a Windows con login, provvede a mostrare un’altra schermata di blocco personalizzata che riporta un diverso indirizzo e-mail di contatto systemdestroyer0108 @gmail.com e una finestra di popup che, richiedendo l’inserimento di un codice password, avverte “Tutti i tuoi file sono stati crittografati e nessuno può recuperarli senza il codice di decrittazione”;
  3. anche dopo l’inserimento di una password (di cui parleremo più avanti) il malware provvede a mantenere disattivate le funzionalità del sistema operativo.

Analisi del malware CoronaLocker

Il campione esaminato (contenuto in un archivio ZIP che può essere scaricato dalla piattaforma di condivisione Malware Bazaar) è identificato dai seguenti hash:

  • MD-5: 09387dad1341f534ad51966168c0e4af
  • SHA-1: 39a58879b0327145f5eb94caa83227564b11abde
  • SHA-256: 01157c3e056d2040250598bc9b4aac8b4ad8b7f2c595381d320290dd79b8317d

Secondo l’analisi condotta, il programma di installazione contiene al suo interno una serie di file compressi (script Visual Basic, file batch ed eseguibili) che verranno copiati sul disco locale.

Per l’esatto ordine di esecuzione è possibile consultare il task caricato online dal ricercatore Kersten.

WEBINAR
Sicurezza IT: focus su casi reali, “schemi di gioco” e organizzazioni criminali
Cybersecurity
Sicurezza dei dati

Di particolare interesse l’analisi dei comandi del file allwh.reg che, oltre ad effettuare delle restrizioni sulle chiavi di registro, cadenzano la successione degli step che caratterizzano l’avvio del sistema operativo.

Si notano, in particolare:

  • l’impostazione dell’avviso mostrato prima dell’accesso e la relativa immagine di sfondo wh.jpg;
  • l’esecuzione all’avvio del sistema dei tre script: speakwh.vbs, antiwh.vbs e diex.bat;
  • l’impostazione dei criteri per disattivare i parametri del processo explorer.exe, del task manager e per l’utilizzo delle unità USB.

I tre script appena indicati ed eseguiti nell’ordine impostato sono fondamentali per la resa del malware CoronaLocker. Ne segue una breve descrizione:

  1. Lo script speakwh.vbs è deputato alla riproduzione audio in un ciclo infinito delle parole “Corona Virus” tramite API dedicata;
  2. lo script antiwh.vbs è deputato all’avvio della schermata finale con il popup di richiesta password di sblocco. Dalla lettura di questo codice script si rileva che la password per lo sblocco del processo explorer.exe è vb e che l’affermazione relativa alla crittografia di tutti i file non trova conferma, poiché non risulta alcuna funzione eseguita al riguardo;
  3. lo script diex.bat è deputato all’interruzione forzata del processo explorer.exe mediante l’esecuzione del comando taskkill.

Conclusioni

Tra i file compressi installati dal malware CoronaLocker nella sua fase preparatoria figura anche un altro file denominato anti.exe. Questo file è un altro programma simile a wifihacker.exe, ma che ne rappresenta il suo antidoto.

Infatti, come si vede nel video dimostrativo pubblicato online, anche dopo avere inserito la password vb per l’esecuzione del processo explorer.exe, tutte le restrizioni preimpostate dal comando di registro (allwh.reg) restano attive. L’esecuzione di anti.exe (che richiede la medesima password per l’avvio) procede, tramite altri due file script, a riportare il registro di sistema allo status quo e alla pulizia della cartella d’installazione.

Questo caso dimostra come il fatto di allestire attacchi informatici e campagne malspam a tema coronavirus sia divenuto oramai una moda. Anche se in questo caso l’autore ha confezionato un prodotto semplice e non particolarmente dannoso (manca la componente cryptolocker) il rischio che possa essere ripreso e migliorato nelle funzioni resta alto.

Si rammenta che per proteggere la propria azienda dalle conseguenze disastrose che i ransomware possono comportare, è sempre bene:

  • adottare tutte le misure non tecnologiche necessarie alla prevenzione: prevedere training formativi di security awareness, protocolli comportamentali di sicurezza aziendali;
  • mantenere costantemente aggiornati alle ultime release i sistemi, i software e le definizioni/firme degli antivirus;
  • pianificare e conservare adeguatamente i backup dei propri sistemi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5